[Gelöst] Wie erstellt man ein Letsencrypt Zertifikat mit ddnss.de?

NeunMuenze92001

Neuer User
Mitglied seit
5 Jan 2020
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

Ich habe mir eine Domain auf der ddnss.de Seite erstellt. Hab sie mit der FRITZ!Box verbunden ohne jegliche Probleme. Jedoch wollte Ich mir ein Zertifikat mit Letsencrypt erstellen. Dies funktionierte jedoch mit TXT garnicht da es nur eine Zeile ist und nicht zwei Zeilen. Also hab Ich ja nicht die Möglichkeit die Validation abzuschließen. Zudem gibt es noch ACME DNS und die Option für Wildcard. Ich würde mich sehr freuen wenn jemand aus diesem Forum mir ausführlich erklären könnte wie man denn eigentlich ein Zertifikat mit ddnss.de erstellt.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,028
Punkte für Reaktionen
94
Punkte
48

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,698
Punkte für Reaktionen
100
Punkte
63
Dies funktionierte jedoch mit TXT garnicht da es nur eine Zeile ist und nicht zwei
Ich denke, ich weiß, was du meinst. Wenn man ein Zertifikat mit mehreren Alternate Names oder ein Wildcard-Zertifikat (irgendwas.ddnss.de und *.irgendwas.ddnss.de) erstellen braucht man mehrere TXT-Records (einen pro Name). Das ist nicht einer mit mehreren Zeilen.

Ich lasse die Erstellung/Verlängerung auf meinem NAS als Script laufen. Dazu braucht man zunächst das Master-Script acme.sh von hier. Dann muss man sich noch 2 Scripts drumrum basteln, eines für die initiale Erstellung (z.B. acme_issue.sh) und eines für die Verlängerung (z.B. acme_renew.sh). Hier mal als Beispiel für ein Wildcard-Cert

acme_issue.sh
Code:
DOMAIN=irgendwas.ddnss.de
./acme.sh --issue -d *.$DOMAIN -d $DOMAIN --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please

acme_renew.sh
Code:
DOMAIN=irgendwas.ddnss.de
./acme.sh --renew $1 -d *.$DOMAIN -d $DOMAIN --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please
status=$?
if [ $status -eq 0 ]; then
  # update used certificates
  echo "Copying certs to /volume1/daten ..."
  cp "./.acme.sh/*.${DOMAIN}/*.${DOMAIN}.cer" "/volume1/daten/${DOMAIN}.cer"
  cp "./.acme.sh/*.${DOMAIN}/*.${DOMAIN}.key" "/volume1/daten/${DOMAIN}.key"
  cp "./.acme.sh/*.${DOMAIN}/ca.cer" "/volume1/daten/${DOMAIN}.ca.cer"
fi
Der letzte Block kopiert das Zertifikat, den Key und das Zwischenzertifikat an eine zugängliche Stelle.

Der DNS-Provider ist eigentlich ziemlich egal. Man muss dort nur TXT-Records anlegen/pflegen dürfen, die quasi als Nachweis dienen, dass einem die Domain gehört. Bei jedem Aufruf zeigt das Script zunächst an, welchen Wert die TXT-Records haben müssen, dann setzt man sie und wiederholt den Lauf.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,028
Punkte für Reaktionen
94
Punkte
48
Ich benutze den certbot. Sollte das Zertifikat für die Fritzbox sein, muss man die drei Einzelteile noch geeignet zusammenfassen.
Code:
cat cert.pem chain.pem privkey.pem > fritzbox.cert
 

NeunMuenze92001

Neuer User
Mitglied seit
5 Jan 2020
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Scheint mir ein bisschen Kompliziert zu sein. Das Zertifikat brauch Ich für die https funktion auf der FRITZ!Box da ständig die Meldung kommt das die Verbindung unsicher ist bei Certbot kommt diese Meldung
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Please deploy a DNS TXT record under the name
_acme-challenge.domain.ddnss.de with the following value:

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Before continuing, verify the record is deployed.
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
und Ich komm da irgendwie nicht durch da es bei dem TXT Record nur eine Leiste ist also ist es mir nicht möglich die Verifizerung abzuschließen. Zudem hat win-acme die Möglichkeit für acme-dns die kann Ich jedoch mit der ddnss.de garnicht verbinden obwohl in den Domain Einstellungen acme-dns an ist.
 

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,698
Punkte für Reaktionen
100
Punkte
63
Der automatische Abgleich der TXT-Records beim DNS-Provider ist nochmal ne ganz andere Geschichte. Nicht jeder DNS-Provider bietet eine API dafür.
Kannst du die TXT-Records nicht manuell über die Web-Oberfläche von ddnss.de anlegen/aktualisieren?
 

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,698
Punkte für Reaktionen
100
Punkte
63
Puh, da bin ich überfragt. Bei mir (Strato) kann ich da eine ganze Liste pflegen, bestehend jeweils aus Präfix (_acme-challenge) und Wert.
Abrufen kann ich die dann beispielsweise mit "nslookup -q=TXT _acme-challenge.meinedomain.de"
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,028
Punkte für Reaktionen
94
Punkte
48
Der automatische Abgleich der TXT-Records beim DNS-Provider ist nochmal ne ganz andere Geschichte.
Nee, wieso? Das war doch klar, und ist bei einem Fritzbox Zertifikat auch der einzige Weg.

Dann leg doch mal einen TXT Record mit dem entsprechenden Namen an. Was passiert denn dann?
 

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,698
Punkte für Reaktionen
100
Punkte
63
Nee, wieso? Das war doch klar, und ist bei einem Fritzbox Zertifikat auch der einzige Weg.
Verstehe ich nicht. Meinst du MyFritz mit Zertifikat? Klar, da ist das alles mit drin.

Aber bei anderen DNS-Providern braucht es halt diese TXT-Records und die Werte ändern sich alle 3 Monate mit jeder Zertifikats-Verlängerung. Also muss man die halt händisch aktualisieren oder der DNS-Provider bietet eine API, über die auch das automatisiert werden kann.
Ich fürchte im Falle von @NeunMuenze92001 mit seinem kostenlosen ddnss.de geht weder das eine noch das andere richtig.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,028
Punkte für Reaktionen
94
Punkte
48
Verstehe ich nicht. Meinst du MyFritz mit Zertifikat?
Nein, wenn man selber ein Zertifikat für die Fritzbox bauen will. Wie willst du denn eine .well-known Challenge in der Fritzbox unterbringen? Das ginge ja nur bei einer Modifikation. Da bleibt nur der TXT Eintrag im DNS.

Aber bei anderen DNS-Providern braucht es halt diese TXT-Records und die Werte ändern sich alle 3 Monate mit jeder Zertifikats-Verlängerung.
Nein, sie ändern sich nicht bei Verlängerung. Jedenfalls nicht bei einem certbot --renew.

Ich hab mir allerdings auch mal ein hook Script für meinen dyndns Anbieter geschrieben, aber bei einem Renew wird das nicht benötigt.
 

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,698
Punkte für Reaktionen
100
Punkte
63
Nein, sie ändern sich nicht bei Verlängerung. Jedenfalls nicht bei einem certbot --renew
certbot kenne ich nicht. Aber bei acme ändern die sich, nicht immer gleich, aber nach einiger Zeit. Ich hatte noch nie den Fall, dass die bei einem Renew kurz vor Ablauf noch die selben gewesen wären. Das macht ja auch Sinn, denn wenn sie zum Nachweis des Besitzes der Domäne dienen, müssen die sich genauso oft ändern, wie die Zertifikate selbst.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
18,028
Punkte für Reaktionen
94
Punkte
48
Wie dem auch sei, das wird hier offtopic.

@NeunMuenze92001: Hast du inzwischen versucht, einen passenden TXT Eintrag zu erzeugen?
 

bugmenotbugmenot

Neuer User
Mitglied seit
10 Jun 2018
Beiträge
113
Punkte für Reaktionen
20
Punkte
18
Dann leg doch mal einen TXT Record mit dem entsprechenden Namen an.
Namen haben DNS records, nicht andersherum. DNS records werden über ihren Typ und die Domain identifiziert. Deswegen hat das Webinterface von ddnss.de keine Textbox für einen Namen. Der Name ist durch die Domain gegeben. Wenn man bei einigen Providern einen "Namen" für einen TXT record angeben kann, dann ist das eine implizite Subdomain, so wie im Screenshot oben für SRV records. Wenn ddnss.de keine TXT records für Subdomains unterstützt, dann ist es für letsencrypt nicht verwendbar.
 

NeunMuenze92001

Neuer User
Mitglied seit
5 Jan 2020
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Hallo an alle nochmals. Ich habe einen anderen DynDns Anbieter gefunden mit TXT Acme etc. Somit kann dieser Thread geschlossen werden.
 

unbekannter Benutzer

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
1,046
Punkte für Reaktionen
168
Punkte
63
Ja, echt cool, Forum FU.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: berndy2001

stoney

Moderator
Teammitglied
Mitglied seit
7 Okt 2015
Beiträge
6,000
Punkte für Reaktionen
554
Punkte
113
geschlossen werden muss der Thread nicht, was @unbekannter Benutzer ausdrücken möchte, ist wohl, dass Du dem Rest nicht verrätst, mit welchem Anbieter Du es nun bewerkstelligt hast.

Den Präfix hast Du ja bereits schon auf [Gelöst] gesetzt, prima.
 
3CX

Statistik des Forums

Themen
239,007
Beiträge
2,121,013
Mitglieder
362,062
Neuestes Mitglied
fblu

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via